Aperçu sur la journalisation d’audit
Comment les services en ligne Microsoft utilisent-ils la journalisation d’audit ?
Les services en ligne Microsoft utilisent la journalisation d’audit pour détecter les activités non autorisées et assurer la responsabilité du personnel Microsoft. Les journaux d’audit capturent des détails sur les modifications de configuration système et les événements d’accès, avec des détails pour identifier qui était responsable de l’activité, quand et où l’activité a eu lieu, et quel était le résultat de l’activité. L’analyse automatisée des journaux prend en charge la détection en temps quasi réel de comportements suspects. Les incidents potentiels sont signalés à l’équipe de réponse de sécurité Microsoft appropriée pour examen plus approfondie.
La journalisation d’audit interne microsoft online services capture les données du journal à partir de différentes sources, telles que :
- Journaux d’événements
- Journaux AppLocker
- Données de performances
- System Center données
- Enregistrements des détails des appels
- Données de qualité de l’expérience
- Journaux du serveur web IIS
- SQL Server journaux
- Données Syslog
- Journaux d’audit de sécurité
Comment les services en ligne Microsoft centralisent-ils et signalent-ils les journaux d’audit ?
De nombreux types de données de journal sont téléchargés à partir de serveurs Microsoft vers une solution de surveillance de la sécurité propriétaire pour l’analyse en temps quasi réel (NRT) et un service de big data computing interne (Cosmos) ou Azure Data Explorer (Kusto) pour le stockage à long terme. Ce transfert de données se produit via une connexion TLS validée par FIPS 140-2 sur des ports et protocoles approuvés à l’aide d’outils de gestion automatique des journaux.
Les journaux sont traitées dans NRT à l’aide de méthodes basées sur des règles, statistiques et machine learning pour détecter les indicateurs de performances système et les événements de sécurité potentiels. Les modèles d’apprentissage automatique utilisent les données des journaux entrants et historiques stockées dans Cosmos ou Kusto pour améliorer en permanence les fonctionnalités de détection. Les détections liées à la sécurité génèrent des alertes, avertissant les ingénieurs de l’appel d’un incident potentiel et déclenchant des actions de correction automatisées le cas échéant. Outre la surveillance automatisée de la sécurité, les équipes de service utilisent des outils d’analyse et des tableaux de bord pour la corrélation de données, les requêtes interactives et l’analyse des données. Ces rapports sont utilisés pour surveiller et améliorer les performances globales du service.
Pour plus d’informations sur la surveillance de la sécurité et les alertes, voir la vue d’ensemble de la surveillance de la sécurité.
Comment les services en ligne Microsoft protègent-ils les journaux d’audit ?
Les outils utilisés dans les services en ligne Microsoft pour collecter et traiter les enregistrements d’audit n’autorisent pas les modifications définitives ou irréversibles apportées au contenu de l’enregistrement d’audit d’origine ou à l’ordre de temps. L’accès aux données du service en ligne Microsoft Cosmos ou Kusto est limité au personnel autorisé. En outre, Microsoft limite la gestion des journaux d’audit à un sous-ensemble limité de membres de l’équipe de sécurité responsables des fonctionnalités d’audit. Le personnel de l’équipe de sécurité n’a pas d’accès administratif permanent Cosmos ou Kusto. L’accès administratif nécessite une approbation d’accès juste-à-temps (JIT) et toutes les modifications apportées aux mécanismes de journalisation pour Cosmos sont enregistrées et auditées. Les journaux d’audit sont conservés suffisamment longtemps pour prendre en charge les enquêtes sur les incidents et répondre aux exigences réglementaires. Période exacte de rétention des données du journal d’audit déterminée par les équipes de service ; la plupart des données du journal d’audit sont conservées pendant 90 jours Cosmos 180 jours dans Kusto.
Comment les services en ligne Microsoft protègent-ils les données personnelles des utilisateurs qui peuvent être capturées dans les journaux d’audit ?
Avant de charger les données du journal, une application de gestion automatisée des journaux utilise un service de nettoyage pour supprimer les champs qui contiennent des données client, telles que les informations client et les données personnelles de l’utilisateur, et remplacer ces champs par une valeur de hachage. Les journaux anonymisés et hachés sont réécrits, puis chargés dans Cosmos. Tous les transferts de journaux ont lieu sur une connexion chiffrée TLS (FIPS 140-2).
Réglementations externes associées & certifications
Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la journalisation d’audit.
Azure et Dynamics 365
| Audits externes | Section | Date de rapport la plus récente |
|---|---|---|
| ISO 27001/27002 Déclaration d’applicabilité Certification |
A.12.4 : Journalisation et surveillance | 2 décembre 2020 |
| ISO 27017 Déclaration d’applicabilité Certification |
A.12.4 : Journalisation et surveillance | 2 décembre 2020 |
| ISO 27018 Déclaration d’applicabilité Certification |
A.12.4 : Journalisation et surveillance | 2 décembre 2020 |
| SOC 1 | VM-1 : journalisation et collecte des événements de sécurité | 31 mars 2021 |
| SOC 2 | C5-6 : Accès restreint aux journaux VM-1 : journalisation et collecte des événements de sécurité |
31 mars 2021 |
Office 365
| Audits externes | Section | Date de rapport la plus récente |
|---|---|---|
| FedRAMP | AU-2 : Événements d’audit AU-3 : Contenu des enregistrements d’audit AU-4 : Auditer la capacité de stockage AU-5 : Réponse aux échecs de traitement d’audit AU-6 : vérification, analyse et rapport d’audit AU-7 : Réduction d’audit et génération de rapports AU-8 : horodats AU-9 : Protection des informations d’audit AU-10 : non-répudiation AU-11 : Rétention d’enregistrement d’audit AU-12 : génération d’audit |
24 septembre 2020 |
| ISO 27001/27002/27017 Déclaration d’applicabilité Certification |
A.12.4 : Journalisation et surveillance | 20 avril 2021 |
| SOC 1 SOC 2 |
CA-48 : journalisation du centre de données CA-60 : Journalisation d’audit |
24 décembre 2020 |